$ cat /etc/internalhost/responsible-disclosure

Vastuullinen ilmoittaminen

Versio 1.0 · Päivitetty viimeksi: 19.5.2026 · koneluettava: /.well-known/security.txt

Löysitkö bugin, haavoittuvuuden tai väärinkäytön? Kerro meille. Arvostamme vastuullista ilmoittamista ja vastaamme 48 tunnin sisällä — yleensä nopeammin.

Miten ilmoittaa

  • Sähköposti: [email protected] — suositeltu kirjallisille raporteille toistettavalla PoC:lla.
  • Signal: linkki alatunnisteessa. Reaaliaikaiseen triageen tai kun aktiivisesti hyödynnetään.
  • PGP: ei vielä julkaistu. Julkaistaan kun saamme oikeasti arkaluonteisia raportteja.

Sisällytä raporttiisi vähintään: vaiheet uudelleentuotantoon, vaikutusarvio, vaikutuksen alainen URL/hostname, yhteystietosi jatkokäsittelyä varten.

Soveltamisala

  • Tuotantoinfrastruktuuri: *.internalhost.eu ja kaikki mikä reititetään AS204729:n kautta ().
  • Asiakasportaali: tämä sivusto (Paymenter).
  • Sähköposti-infrastruktuuri: mail.internalhost.eu, mx2.internalhost.eu.
  • Julkinen lähdekoodimme osoitteessa github.com/internalhost-eu.

Ei soveltamisalassa

  • Asiakaspalvelimet (VPS / dedikoidut / kolokaatio): ne kuuluvat asiakkaillemme. Ei testausta ilman omistajan kirjallista lupaa. Pidätämme oikeuden raportoida luvaton tutkimus asiakkaiden IP-osoitteissa poliisille.
  • Denial of Service ja volyymihyökkäykset.
  • Spam, phishing, henkilöstömme tai asiakkaidemme social engineering.
  • Teoreettiset ongelmat ilman toimivaa Proof of Conceptia.
  • Automaattisten skannereiden löydökset ilman manuaalista vahvistusta ("SSL:si ei saa A+ Qualyksessä" ei ole haavoittuvuus).
  • Avoimen lähdekoodin projektien upstream-ongelmat (Laravel, Filament, Paymenter, CloudPanel, jne.) — ilmoita ne suoraan.

Mihin sitoudumme

  • Vastaamme 48 tunnin sisällä, yleensä 8 työtunnin sisällä.
  • Tutkimme vakavasti ja pidämme sinut ajan tasalla etenemisestä.
  • Emme ryhdy oikeustoimiin tutkijoita vastaan jotka toimivat hyvässä uskossa ja noudattavat tätä politiikkaa.
  • Vahvistetut ongelmat saavat hall-of-fame -maininnan (jos haluat) ja henkilökohtaisen Signal-kiitoksen Nickiltä.
  • Korjaamme haavoittuvuudet ennen julkista paljastusta. Oletuspaljastusikkuna: 90 päivää vahvistuksesta, lyhyempi kun aktiivisesti hyödynnetään.

Mitä emme tarjoa

Ei bug bounty -ohjelmaa rahapalkkioilla. Olemme pieni tiimi. Mitä saat:

  • Julkinen maininta tällä sivulla (tai anonyymi, sinun valintasi).
  • InternalHost-merchiä (kun meillä on sitä).
  • Keskustelun itse bugista, ei manageri-vetoisista prioriteeteista.

Hall of fame

Tutkijat jotka auttoivat meitä. Kiitos.

Tyhjä toistaiseksi — ole ensimmäinen.